6 月 4 日消息，有研究人員在微軟 Office 中發(fā)現(xiàn)一個 0 day 安全漏洞 ——Follina，漏洞 CVE 編號為 CVE-2022-30190。微軟已確認(rèn)該漏洞存在于 Windo

6 月 4 日消息，有研究人員在微軟 Office 中發(fā)現(xiàn)一個 0 day 安全漏洞 ——Follina，漏洞 CVE 編號為 CVE-2022-30190。

微軟已確認(rèn)該漏洞存在于 Windows 上的微軟支持診斷工具(Microsoft Support Diagnostic Tool)中，當(dāng) MSDT 使用 Word 等應(yīng)用從 URL 協(xié)議調(diào)用時便會觸發(fā)漏洞。

值得注意的是，這種混淆的代碼可以在不打開文檔的情況下運(yùn)行，比如通過 IE 的預(yù)覽窗口。

攻擊者利用該漏洞可以以調(diào)用應(yīng)用的權(quán)限運(yùn)行任意代碼，然后安裝應(yīng)用程序、查看、修改和刪除數(shù)據(jù)，甚至創(chuàng)建新的賬戶等。

IT之家了解到，這一漏洞似乎不局限于 Windows 的版本，只要系統(tǒng)安裝了 Microsoft 支持診斷工具就有可能會暴露出來。

微軟表示，用戶只需禁用 MSDT URL 協(xié)議即可避免此漏洞被利用，而且你仍然可以使用 Get Help 應(yīng)用程序和系統(tǒng)設(shè)置中的其他或其他故障排除程序訪問故障排除程序。此外，微軟還提示用戶將殺軟 Microsoft Defender 更新至最新版本(1.367.719.0)，以檢測任何可能的漏洞利用。

禁用 MSDT URL 協(xié)議的方法：

以管理員身份打開命令提示符 CMD。

備份注冊表項(xiàng)，執(zhí)行命令 reg export HKEY_CLASSES_ROOT\ms-msdt filename

執(zhí)行命令 reg delete HKEY_CLASSES_ROOT\ms-msdt /f

撤銷：

以管理員身份運(yùn)行命令提示符。

要恢復(fù)注冊表項(xiàng)，請執(zhí)行命令“reg importfilename”

安全研究人員 nao_sec 上個月意外發(fā)現(xiàn)一個位于 Belarus 的 IP 地址向 Virus Total 提交的惡意 Word 文檔，該文件濫用了微軟的 MSDT(ms-msdt)技術(shù)。他使用外部鏈接來加載 HTML，然后使用 ms-msdt 方案來執(zhí)行 PowerShell 代碼。

Kevin Beaumont 發(fā)現(xiàn)，這是一個微軟 Word 使用 MSDT 執(zhí)行的命令行字符串，即使在宏腳本被禁用的情況下也可以執(zhí)行。目前已知受該漏洞影響的版本有Office 2013、2016、Office Pro Plus 和 Office 2021 等。

實(shí)際上，研究人員早在 4 月就將該漏洞報告給了微軟，但微軟稱這并非是一個安全相關(guān)的問題，并且關(guān)閉了該漏洞報告，聲稱沒有遠(yuǎn)程代碼執(zhí)行的安全影響，但直到 5 月 30 日微軟才對該漏洞分配了 CVE 編號，雖然至今都沒有發(fā)布關(guān)于該漏洞的修復(fù)補(bǔ)丁。

關(guān)鍵詞：